蠕虫型僵尸工具的传播模型及检测技术研究.pdfVIP

摘要 摘要 分布式拒绝服务(DDoS)攻击已经给互联网带来了极大的危害，僵尸网络 (Botllet)作为攻击者选择的最主要工具，是反击分布式拒绝服务攻击的首要目标。 由于僵尸网络不是个体病毒的感染发作，而是一个或多个攻击性网络的建立，以 及在特定时间内对特定对象的群体式攻击，因此僵尸网络的建立过程尤其值得研 究和关注。僵尸网络的建立依赖于僵尸工具的传播，若不考虑攻击节点向控制中 心的注册及双方的交互过程，可将僵尸工具的传播过程看作僵尸网络的组网过程。 而对僵尸工具的检测是阻碍僵尸网络进一步发展和破坏现有僵尸网络的手段之 一。因此以僵尸工具的传播和检测作为研究僵尸网络的切入点，是僵尸网络研究 中很必要的一个课题。 组成的网络特点，选取其中以蠕虫方式传播的僵尸工具作为研究的切入点，主要 完成了以下三个方面的工作。 第一，建立了基于无尺度网络拓扑的蠕虫型僵尸工具传播模型。本文通过对 蠕虫型僵尸工具的特征和僵尸网络的复杂性网络拓扑的研究，认为无尺度网络是 最适合描述由蠕虫型僵尸工具感染而形成的IRC僵尸网络的网络模型。在此模型 下，改进了当前建立在完全连接网络模型下的蠕虫型僵尸工具的传播模型，重点 考虑了集散节点对于僵尸工具传播的影响，提出了无尺度网络下的双因素传播模 型。仿真分析表明，本文所提出的模型在初始传播的延迟性上处理较好，并且移 除曲线更加平缓，更接近于实际观测曲线，取得了较好的模拟效果。 第二，提出了分段处理的概率字符串匹配算法。传统的模式匹配算法是解决 两个字符串之间的相似性问题，而对于一些被噪声影响的攻击信息或利用会话拼 接、信息分散等技术的攻击手段却无能为力。本文提出的分段处理的概率字符串 匹配算法，将问题转化成求模式串中至少有1／p的字符顺序地出现在文本串中，可 有效地解决上述传统模式匹配算法的缺陷。该算法是基于基本动态规划概率匹配 算法的改进，兼具概率匹配算法和正则匹配的特点，可实现在线匹配，使漏报率 更低。其最好情况下的复杂度为O(彩／109册)，最坏情况下也不超过O沏，1)，同时本 文算法还能够兼容动态规划概率匹配算法效率的迸一步发展。 摘要 最后，本文设计开发了一个基于主机的僵尸工具检测系统，并对现有的僵尸 网络反制技术进行了总结。 关键字：僵尸网络，蠕虫型僵尸．工具，传播模型，概率字符串匹配 Ⅱ ABSTRA(了r ABSTRACT attack aSnlemostserious onIntenlet Undoubtedly，DDoS se饥Iri够issue has锄啷ed ismemost toolusedforDDoS．nisanetwork today．Bo恤et iInportant groupedby zombies．Soitbecomestlle foruSt0counterattackDDoS．BotIletisnot prima巧target 肌indiVidual of several oneor vinls，but趾org：lIlizationattacl(ingnet、7l，orks．T11ey attacka ina tiIlle．Soitis toresearchon paniculart鹕ettog如erspecified imponant the ofbotllet’sestablisbIn肌t．W1lilemees诎lisllIIl饥tofbo缸